如何通过AppDomain用特定的安全上下文加载外部程序集

最新推荐文章于 2022-02-24 19:37:42 发布

chen_xizhang

最新推荐文章于 2022-02-24 19:37:42 发布

阅读量551

点赞数

CC 4.0 BY-SA版权

分类专栏： [随笔分类]Microsoft .NET 文章标签： assembly internet string plugins null object

本文链接：https://blog.youkuaiyun.com/chen_xizhang/article/details/4262383

[随笔分类]Microsoft .NET 专栏收录该内容

441 篇文章

订阅专栏

本文介绍如何使用.NET中的AppDomain特性来安全地加载和执行不可信的插件程序集，通过设置不同的安全上下文避免潜在风险。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

该篇文章是我于2009年6月10日通过自己编写的工具，批量从位于在博客园的博客站点(http://chenxizhang.cnblogs.com)同步而来。文章中的图片地址仍然是链接到博客园的。特此说明！

陈希章

原文地址：http://www.cnblogs.com/chenxizhang/archive/2008/09/08/1286789.html
原文标题：如何通过AppDomain用特定的安全上下文加载外部程序集
原文发表：2008/9/8 7:14:00

.NET的程序集实际上不是直接在进程(Process)中运行，而是在一个特殊的上下文环境（AppDomain)中。我们的程序在运行的时候，首先会由CLR动态创建一个或多个默认的AppDomain，然后我们在代码中还可以手工地创建自定义的AppDomain。

有关程序域的说明，有兴趣的朋友可以参考下面的链接

http://msdn.microsoft.com/zh-cn/library/system.appdomain(VS.80).aspx

实际上它的三大好处是

1. 安全性（不同程序域之间默认是无法通讯的）

2. 稳定性（单一程序域的异常不会影响其他的）

3. 便捷性（可以利用程序域的单独卸载，而不是整个程序卸载）

那么什么时候需要用到这个技术呢？最典型的一个场景就是我们需要设计一个插件结构的程序。我们的主程序可以动态加载一个或者多个插件，这些插件当然可能是别人写的，那么我们对于这些插件所可能会做的事情是不可预期的。为了避免这些插件通过我们的主程序的执行而造成用户受到危害——例如插件可能会去更改注册表等等重要的信息——我们就可以把这些插件单独运行，而且让他们运行在相对比较低的安全上下文中。

下面用一个例子说明，我们大致的原理是用一个单独的应用程序域运行所有的插件，在该应用程序域上设置的权限是Internet这个级别。

核心代码如下

private AppDomain CreateAppDomain()
{
    AppDomain result = AppDomain.CreateDomain("plugins");
    PolicyLevel policy = PolicyLevel.CreateAppDomainLevel();
    PermissionSet ps = policy.GetNamedPermissionSet("Internet");

//这里我们取得Internet这个权限集的默认权限集合
    ps.AddPermission(new FileIOPermission(FileIOPermissionAccess.AllAccess, Application.StartupPath));

//并且再为其增加文件读取的权限，因为它需要加载另外的程序集，所以需要有主程序根目录下面的权限
    policy.RootCodeGroup.PolicyStatement = new PolicyStatement(ps);
    result.SetAppDomainPolicy(policy);
    return result;
}

下面的代码是菜单响应事件


        void item_Click(object sender, EventArgs e)
        {
            ToolStripMenuItem item = (ToolStripMenuItem)sender;
            string tag = item.Tag.ToString();

            string fileName = tag.Split(';')[0];
            string typeName = tag.Split(';')[1];
           
            BindingFlags bindings = BindingFlags.CreateInstance | 
                BindingFlags.Instance | BindingFlags.Public;

            AssemblyLoader loader = (AssemblyLoader)
                pluginDomain.CreateInstanceFromAndUnwrap("Host.exe", 
                typeof(AssemblyLoader).FullName, true, bindings, 
                null, new object[] { fileName }, null, null, null);
            loader.RunPlugin(typeName);
        }

上面的代码中的AssemblyLoader类相当于是一个桥梁，它帮助我们实例化插件并运行里面的入口方法

using System;
using System.Reflection;
using PluginSample.Core; 

namespace Host
{
    [Serializable]
    public class AssemblyLoader:MarshalByRefObject
    {
        public AssemblyLoader() { } 

        public AssemblyLoader(string dllName)
        {
            if (_assembly == null)
                _assembly = LoadAssembly(dllName);
        } 

        private Assembly _assembly=null;
        public Assembly LoadAssembly(string fileName) {
            return Assembly.LoadFile(fileName);
        } 

        public void RunPlugin(string type) {
            IPlugin plugin = (IPlugin)_assembly.CreateInstance(type);
            plugin.Main();
        } 

    }
}

下面我们来看看运行的效果。首先说说主程序：因为主程序是在本机运行，所以默认使用到的权限集是FullTrust，如下图

我们这个程序会自动地加载plugins目录下面的dll，然后创建菜单。（你这里可以看见两个菜单项，分别对应两个插件）

我们接下去点击插件的菜单，这时候会调用上面贴出来的第二段代码，动态实例化插件，并将其放在单独的程序域中执行

因为我们给程序域设置的权限集是Internet，所以你会看到下面的效果

注意，我们这里为了测试，故意在这个插件上用一个按钮去修改注册表，我们来看看会出现什么情况

很好，这样我们就实现了目的：可以让插件运行，但不允许他去修改注册表。

作者：陈希章
出处：http://blog.youkuaiyun.com/chen_xizhang
本文版权归作者所有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。